à medida que o indústria de criptomoedas continua a se expandir e se torna um alvo cada vez mais atraente para os hackers, o Pentágono encomendou um estudo que descobriu algumas vulnerabilidades preocupantes, detalhadas em um relatório anexo.
De fato, o relatório, publicado em 21 de junho e intitulado “Blockchains são descentralizados? Centralidades não intencionais em razão distribuída”, descobriu que “um subconjunto de participantes pode obter controle excessivo e centralizado sobre todo o sistema”.
O estudo, que se concentra no Bitcoin (BTC) e Ethereum (ETH), foi realizado pela empresa de pesquisa de segurança Trail of Bits sob a direção da Agência de Projetos de Pesquisa Avançada de Defesa do Pentágono (DARPA).
De acordo com o relatório:
“O número de entidades suficientes para interromper uma blockchain é relativamente baixo: quatro para Bitcoin, duas para Ethereum e menos de uma dúzia para a maioria das redes PoS.”
60% do tráfego de Bitcoin passa por apenas 3 ISPs
Além disso, o relatório disse que “de todo o tráfego de Bitcoin, 60% atravessa apenas três ISPs”, referindo-se aos provedores de serviços de internet. Além disso, “a grande maioria dos nós Bitcoin parece não participar da mineração e os operadores de nós não enfrentam penalidade explícita por desonestidade”.
Como os analistas alertam, “a implantação de um novo nó requer apenas uma instância de servidor em nuvem barata – nenhum hardware de mineração especializado é necessário”. Isso permite a possibilidade de inundar a rede de consenso de uma blockchain com novos nós maliciosos controlados por uma única parte no que é chamado de ataque Sybil.
Outros problemas incluem protocolos e software desatualizados e não criptografados, que expõem a rede a ataques. Como explica o relatório:
“A segurança de uma blockchain depende da segurança do software e dos protocolos de sua governança fora da cadeia ou mecanismos de consenso.”
Piscinas de mineração descuidadas
O relatório também descobriu que todos os pools de mineração testados por seus analistas “atribuem uma senha codificada para todas as contas ou simplesmente não validam a senha fornecida durante a autenticação”.
Como exemplo, o relatório usou a prática do pool global de mineração de criptomoedas ViaBTC de aparentemente atribuir a senha '123' a todas as suas contas. Outra empresa de mineração, Poolin, “parece não validar as credenciais de autenticação”, enquanto a Slushpool “instrui explicitamente seus usuários a ignorar o campo de senha”.
De acordo com os dados disponíveis, esses três pools de mineração representam cerca de 25% do hashrate do Bitcoin.
Cíber segurança os pesquisadores costumam alertar sobre possíveis fraquezas relacionadas a criptomoedas que podem levar a incidentes como o que finbold relatado em meados de abril, em que um atacante conseguiu roubar toda a coleção de uma pessoa de criptomoedas e tokens não fungíveis (NTF`s) no valor de mais de $ 650,000 de seu MetaMask carteira de cripto.
Fonte: https://finbold.com/pentagon-paper-warns-of-major-vulnerabilities-in-the-bitcoin-blockchain/